Comprendere SPF e DKIM per migliorare la deliverability delle email

Nei primi giorni della ‘posta elettronica moderna’, c'erano meccanismi limitati disponibili per supportare la verifica del mittente. Quasi tutta la posta indesiderata, le truffe e i virus che si diffondevano tramite email lo facevano utilizzando informazioni falsificate del mittente – come alcuni fanno ancora oggi. Verificare chi sono realmente i mittenti delle email era ed è ancora un processo difficile.

Prendiamo ad esempio la visita a www.google.com e l'invio di una ricerca. Di solito sei abbastanza sicuro che Google abbia il controllo su ciò che ti viene restituito per la tua ricerca e che i risultati della ricerca siano sicuri. Questo perché il Sistema dei Nomi di Dominio (DNS)—una rete distribuita di server che funge da rubrica telefonica—collega il dominio a una varietà di record, inclusi quei record per trovare il vero google.com.

L'email utilizza un'adattamento successivo di questo stesso sistema per verificare i mittenti, che è esattamente ciò che è un record di Sender Policy Framework (SPF).

Vantaggi e Potenziali Svantaggi dello SPF

Lo SPF è abile nel prevenire il phishing. Senza di esso, il SMTP esporrebbe il tuo indirizzo a chi potrebbe falsificarlo a fini di spam. Con lo SPF in atto, quando un hacker tenta di avviare un'email dal tuo indirizzo, la sicurezza SPF del server ricevente lo rileva e lo identifica come non valido. Utilizzare lo SPF dimostra che la tua organizzazione è impegnata a proteggere contro le minacce informatiche, un segno che impatta positivamente sulla tua reputazione del mittente.

Quando un utente al di fuori del tuo dominio inoltra un'email che è stata originariamente inviata da te, la consegna potrebbe non avvenire a causa di una discrepanza tra il record IP e il record SPF. Molti agenti di scambio e trasferimento email stanno ora utilizzando lo Schema di Riscrittura del Mittente (SRS) per migliorare la consegnabilità delle email inoltrate. Il record SPF deve anche riflettere eventuali modifiche nei fornitori di servizi email di terze parti per garantire che corrispondano per la consegnabilità.

Come Funziona lo SPF

Al livello più basilare, le email SPF stabiliscono un metodo per i server riceventi per verificare che le email in arrivo da un dominio siano state inviate da un host autorizzato dagli amministratori di quel dominio. I seguenti tre passaggi delineano come funziona lo SPF:

1. Un amministratore di dominio pubblica la politica che definisce i server di posta autorizzati a inviare email da quel dominio. Questa politica è chiamata record SPF ed è elencata come parte dei record DNS complessivi del dominio.

2. Quando un server di posta in entrata riceve un'email in arrivo, cerca le regole per il dominio di rimbalzo (Return-Path) nel DNS. Il server in entrata confronta quindi l'indirizzo IP del mittente della posta con gli indirizzi IP autorizzati definiti nel record SPF.

3. Il server di posta ricevente utilizza quindi le regole specificate nel record SPF del dominio di invio per decidere se accettare, rifiutare o altrimenti contrassegnare il messaggio email.

Per fare il primo passo per ispezionare il tuo record SPF, puoi farlo con lo strumento gratuito di SparkPost – l'Inspector SPF.

Riepilogo di come funziona lo SPF

Una volta che hai identificato quali server sono autorizzati a inviare per conto di un dominio, puoi quindi creare un record SPF per il tuo dominio attraverso il Costruttore SPF.

Creare un record SPF ti porterà un passo più vicino a garantire che le email legittime provenienti dal tuo dominio vengano consegnate con successo alle caselle di posta dei clienti.

Quando si tratta di verificare che un messaggio email sia stato inviato da un server di posta autorizzato, è qui che entra in gioco il DKIM.

Vantaggi e Potenziali Svantaggi dell'Autenticazione DKIM

Il principale vantaggio delle email DKIM è la sua capacità di proteggere contro sia le falsificazioni che gli attacchi di phishing. L'autenticazione appare all'interno del messaggio stesso per prevenire le falsificazioni e proteggere gli utenti dal rispondere a email illecite con dati personali sensibili. Sia la falsificazione che il phishing hanno il potenziale di danneggiare la tua reputazione di invio e la futura consegnabilità, quindi la protezione contro i due è vantaggiosa.

Creare un'email con DKIM ha lo stesso potenziale svantaggio dello SPF quando si tratta di inoltrare messaggi. Ad esempio, un'email che viene automaticamente indirizzata da un computer d'ufficio a un dispositivo mobile dell'utente potrebbe apparire come illecita al server ricevente. Molti servizi email popolari hanno risolto questo problema. Un'altra sfida che potrebbe presentarsi è un DKIM troppo corto. Con un maggiore supporto per chiavi più lunghe, quelle più corte potrebbero non superare l'autenticazione.

Come Funziona il DKIM

In parole semplici, il DKIM funziona aggiungendo una firma digitale alle intestazioni di un messaggio email. Questa firma può quindi essere convalidata rispetto a una chiave crittografica pubblica che si trova nel record DNS dell'organizzazione.

Il proprietario del dominio pubblica una chiave crittografica. Questa è specificamente formattata come un record TXT nel record DNS complessivo del dominio.

Dopo che un messaggio è stato inviato da un server di posta in uscita, il server genera e allega la firma DKIM unica all'intestazione del messaggio.

La chiave DKIM viene quindi utilizzata dai server di posta in entrata per rilevare e decrittografare la firma del messaggio e confrontarla con una versione fresca. Se i valori corrispondono, il messaggio può essere dimostrato autentico, e non alterato durante il transito, e quindi, non falsificato o alterato.

Puoi convalidare la tua email con il Validatore DKIM.

Riepilogo di come funziona il DKIM